Soumettre la recherche
Mettre en ligne
Awareness(no video)
•
Télécharger en tant que PPTX, PDF
•
0 j'aime
•
577 vues
A
a_a_a
Suivre
User awarness
Lire moins
Lire la suite
Affichage du diaporama
Signaler
Partager
Affichage du diaporama
Signaler
Partager
1 sur 17
Télécharger maintenant
Recommandé
Управление рисками
Управление рисками
Руслан Кучер
Основные риски проектов внедрения
Основные риски проектов внедрения
Диалог Информационные Технологии
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
UISGCON
Риски в разработке ПО связанные с требованиями
Риски в разработке ПО связанные с требованиями
Peoplemind
Риски при реализации крупных проектов и методы их минимизации
Риски при реализации крупных проектов и методы их минимизации
softlab
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтед
Docsvision
Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения
Евгений Пикулев
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
Recommandé
Управление рисками
Управление рисками
Руслан Кучер
Основные риски проектов внедрения
Основные риски проектов внедрения
Диалог Информационные Технологии
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
UISGCON
Риски в разработке ПО связанные с требованиями
Риски в разработке ПО связанные с требованиями
Peoplemind
Риски при реализации крупных проектов и методы их минимизации
Риски при реализации крупных проектов и методы их минимизации
softlab
Успешный проект внедрения Docsvision вертекс юнайтед
Успешный проект внедрения Docsvision вертекс юнайтед
Docsvision
Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения
Евгений Пикулев
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
Управление рисками проекта
Управление рисками проекта
Mikhail Sofonov, PMP, P2M, PRINCE2
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)
Anna Sokolova
мастер класс риски ет 70715
мастер класс риски ет 70715
Evgeny Tyrtyshny
Управление рисками
Управление рисками
Albina Iskhakova
Управление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспечения
ru_Parallels
Управление рисками. Когда и как?
Управление рисками. Когда и как?
Infor-media
Сценарное планирование
Сценарное планирование
Grigoriy Pechenkin
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами
Comarch SA
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
InfoWatch
Антикоррупция
Антикоррупция
Alexei Fedotov
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Dmitry Andreev
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
ScrumTrek
тест на проникновение
тест на проникновение
a_a_a
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в Внешэкономбанке
WebSoft
Pentest requirements
Pentest requirements
Glib Pakharenko
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПО
Евгений Рожков
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
Sergiy Povolyashko, PMP
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringTools
RussianStartupTour
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Gena Drahun
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
Igor Zvyaghin
Project Management Анар Умурзакова
Project Management Анар Умурзакова
Samson Bezmyatezhny
Contenu connexe
Tendances
Управление рисками проекта
Управление рисками проекта
Mikhail Sofonov, PMP, P2M, PRINCE2
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)
Anna Sokolova
мастер класс риски ет 70715
мастер класс риски ет 70715
Evgeny Tyrtyshny
Управление рисками
Управление рисками
Albina Iskhakova
Управление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспечения
ru_Parallels
Управление рисками. Когда и как?
Управление рисками. Когда и как?
Infor-media
Сценарное планирование
Сценарное планирование
Grigoriy Pechenkin
Tendances
(7)
Управление рисками проекта
Управление рисками проекта
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)
мастер класс риски ет 70715
мастер класс риски ет 70715
Управление рисками
Управление рисками
Управление рисками в разработке программного обеспечения
Управление рисками в разработке программного обеспечения
Управление рисками. Когда и как?
Управление рисками. Когда и как?
Сценарное планирование
Сценарное планирование
Similaire à Awareness(no video)
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами
Comarch SA
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
InfoWatch
Антикоррупция
Антикоррупция
Alexei Fedotov
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Dmitry Andreev
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
ScrumTrek
тест на проникновение
тест на проникновение
a_a_a
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в Внешэкономбанке
WebSoft
Pentest requirements
Pentest requirements
Glib Pakharenko
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПО
Евгений Рожков
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
Sergiy Povolyashko, PMP
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringTools
RussianStartupTour
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Gena Drahun
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
Igor Zvyaghin
Project Management Анар Умурзакова
Project Management Анар Умурзакова
Samson Bezmyatezhny
Проект "Фабрика знаний"
Проект "Фабрика знаний"
Сергей Гевлич
МАСТЕР-КЛАСС.Эффективное юзабилити
МАСТЕР-КЛАСС.Эффективное юзабилити
SQALab
CCPM DBR Vebinar 28 01 2010
CCPM DBR Vebinar 28 01 2010
Андрей Степенко
Тема 6
Тема 6
Usanov Aleksey
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
Sergiy Povolyashko
Similaire à Awareness(no video)
(20)
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
10 факторов успешного внедрения системы по Управлению Активами
10 факторов успешного внедрения системы по Управлению Активами
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
Антикоррупция
Антикоррупция
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Проактивное управление проектами в среде Microsoft Visual Studio 2010
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
Андрей Бадин, Вндрение проектного управления в Сочи-2014 и Agile
тест на проникновение
тест на проникновение
Автоматизация бизнес-процессов в Внешэкономбанке
Автоматизация бизнес-процессов в Внешэкономбанке
Pentest requirements
Pentest requirements
Мониторинг и оценка эффективности социальных проектов НПО
Мониторинг и оценка эффективности социальных проектов НПО
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
RST2014_Voronezh_EngineeringTools
RST2014_Voronezh_EngineeringTools
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Hienadz Drahun - Качество и Юзабилити - SEF 2009
Organizational knowledge in ISO 9001:2015
Organizational knowledge in ISO 9001:2015
Project Management Анар Умурзакова
Project Management Анар Умурзакова
Проект "Фабрика знаний"
Проект "Фабрика знаний"
МАСТЕР-КЛАСС.Эффективное юзабилити
МАСТЕР-КЛАСС.Эффективное юзабилити
CCPM DBR Vebinar 28 01 2010
CCPM DBR Vebinar 28 01 2010
Тема 6
Тема 6
Circum Risk Space. Whale Rider Conference. Moscow
Circum Risk Space. Whale Rider Conference. Moscow
Awareness(no video)
1.
Эффективная программа повышения
осведомленности персонала в вопросах ИБ Владимир Ткаченко, CISA Директор ООО «Агентство Активного Аудита» Член Наблюдательного совета ВОО «Украинская группа по информационной безопасности»
2.
РЕАЛЬНАЯ СТАТИСТИКА (из
отчетов о тесте на проникновение) 2010 При массовой рассылке (фишинговая атака) – из 150 целей получено 20 паролей сотрудников компании (13,33%), кроме того почтовый сервер разрешил подобную массовую рассылку от имени одного из сотрудников Заказчика (начальника департамента ИТ). 2011 Многие сотрудники компании не имеют представления о фишинговых атаках и не сумели их идентифицировать. Реактивные действия соответствующих подразделений не сумели предотвратить развитие атаки. Через сутки после проведения атаки пароли не сменили 14 пользователей. Через 6 дней - 10 пользователей. В результате сбора информации с почтовых ящиков было получено множество конфиденциальных данных. 2012 При массовой рассылке (фишинговая атака) из 120 целей получено около 30 паролей сотрудников компании (25%). Данные пароли также давали возможность дополнительно авторизоваться на корпоративных ресурсах. 2012 При массовой рассылке (фишинговая атака) из 900 целей зарегистрировано 110 вводов паролей сотрудников компании (12%). 30% сотрудников компании раскрыли конфиденциальную информацию по телефону входе осуществления звонков. 09.10.2012 © Владимир Ткаченко, CISA 2
3.
Мамо, шо маю
робити? – Security awareness, доню! ЧТО ТАКОЕ программа повышения осведомленности персонала (пользователей) в вопросах ИБ? Программа повышения осведомленности это – комплекс мероприятий направленный на противодействие угрозам и уязвимостям ИБ. Зачем? 1) См. слайд выше - предотвратить риски утечки, хищения, информации (потеря конфиденциальности); 2) Предотвратить несанкционированные действия по модификации, копированию информации (потеря целостности); 3) Снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы, обеспечить правовой режим информации как объекта собственности компании; 4) Обеспечить понимание персоналом своих обязанностей по информационной безопасности и внедрить «модель поведения» при инцидентах ИБ; 5) Принятие новых нормативных актов (напр., Закон о ПДн), изменение политик и/или технологий в области ИБ, изменение бизнес процессов, работа с персоналом третьей компании, новый менеджмент … Как? NIST SP800-50 Building an The New User’s Guide: How Information Technology to raise information security Security Awareness and awareness (Nov 2010) Training Program (Oct 2003) 70! 140 !!!!! 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 3
4.
Этапы реализации программы
Этап I – Обоснование и планирование (Plan & Assess) Оценить тематику и Сланировать Назначить ответственных Определить участников потенциальные Получить бюджет внедрение (составить за реализацию и аудиторию решения План реализации) Этап II – Реализация и управление программой (Execute & Manage) Подготовить мероприятия и Определить средства доставки Провести мероприятия по Документировать полученные материалы информации программе результаты (за период действия) Этап III – Оценка эффективности и корректирующие действия (Evaluate & Adjust) Провести оценку эффективности Скорректировать тематику и цели Скорректировать программу по Реализовать скорректированные мероприятий (если необходимо) результатам оценки мероприятия 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 4
5.
Элементы программы повышения
осведомленности Плакаты (постеры) – в присутственных местах (кухни, коридоры, шкафы, стены в помещении) Скринсейверы (на рабочих станциях), баннеры на корпоративном сайте /портале Сообщения при загрузке и/или выключении компьютера Комиксы (статические картинки с сюжетом по теме ИБ) Флеш – мультики Флеш-игры Видеоролики Средства канцелярской наглядной агитации (ручки, степлеры, дыроколы, внешние носители, стикеры и пр) Тесты, конкурсы, презентации, интерактивное обучение Все что еще вы сможете придумать для внедрения идей (положений) ИБ в компании (расстрел пейнтбольными шариками нарушителей политики чистого стола и т. п.) 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 5
6.
Элементы программы пример
плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 6
7.
Элементы программы пример
плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 7
8.
Элементы программы пример
плакатов 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 8
9.
Элементы программы пример
комикса 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 9
10.
Элементы программы пример
комикса (продолжение) 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 10
11.
Элементы программы пример
флеш мульта 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 11
12.
Элементы программы пример
видеоролика 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 12
13.
Элементы программы пример
канцелярии 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 13
14.
Средства доставки контента
персоналу • Корпоративный Web-портал • Корпоративный Web-сайт (раздел или страничка по ИБ) • Сообщение ОС на сетевую папку с контентом • Авторан на сетевую папку с контентом • Размещение контента в местах частого присутствия персонала (кухни, комнаты для переговоров и т. п.) • Демонстрация роликов на плазменных панелях, экранах 09.10.2012 © Владимир Ткаченко, CISA - Агентство Активного Аудита 14
15.
Методы оценки эффективности •
КPI (Key Performance Indicators) • KRI (Key Risk Indicators) • Benchmarking (внешний напр. при аудите) Способы оценки эффективности: • анкетная оценка (метод выборочного интервью с участниками программы); • результаты тестов персонала по тематике ИБ; • адекватное финансирование программы; • уровень посещаемости инструктажей ИБ; • наличие конкурсов, награжденных призами …; • наличие каналов доставки контента (WEB, TV, E-mail…) 09.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 15
16.
Команда реализующая программу
Кто ? Отдел кадров (НR) – непосредственное участие в реализации программы (организация и проведение тренингов, анализ результатов, контроль за проведением и т.п.) Отдел ИБ (CISO) - согласование тематики, участие в инструктажах, презентациях и в оценке эффективности Бухгалтерия (фин планирование) (CFO) – бюджетирование и контроль расходов Отдел маркетинга (СМО) – ТОЛЬКО согласование корпоративного стиля в макетах материалов !!!! Отдел ИТ (CIO) – только консалтинг по актуализации тем и организация доставки контента 09.10.2012 © Валентин Сысоев,CISM - Агентство Активного Аудита 16
17.
Вопросы info@auditagency.com.ua www.auditagency.com.ua
044 228 15 88
Télécharger maintenant